根據(jù)KASPERSKY發(fā)布的《2024年勒索軟件現(xiàn)狀報告》，勒索軟件攻擊仍然是當(dāng)代最大的網(wǎng)絡(luò)安全威脅之一，并在全球范圍內(nèi)影響著組織和個人。從醫(yī)療保健和工業(yè)領(lǐng)域的高調(diào)違規(guī)行為（泄露大量敏感數(shù)據(jù)或完全停止生產(chǎn)），到對相對容易成為目標(biāo)的小企業(yè)的攻擊，勒索軟件攻擊者正在擴(kuò)大其影響力范圍。報告分析了主要的勒索軟件事件和趨勢，并列出了觀察、研究和統(tǒng)計數(shù)據(jù)，以闡明不斷演變的勒索軟件威脅格局及其對網(wǎng)絡(luò)安全的影響，以下是主要內(nèi)容。

事件響應(yīng)實踐中觀察到的趨勢

基于KASPERSKY的事件響應(yīng)服務(wù)在2023 年處理的事件的趨勢和統(tǒng)計數(shù)據(jù)得出以下結(jié)論：

• 2023 年，每三起事件（33.3%）就有一起與勒索軟件有關(guān)；
• 勒索軟件仍然是所有行業(yè)企業(yè)面臨的主要威脅；
• 通過承包商和服務(wù)提供商（包括 IT 服務(wù)）實施的攻擊首次成為三大攻擊載體之一；
• 信任關(guān)系攻擊、入侵面向互聯(lián)網(wǎng)的應(yīng)用程序、入侵憑證以及網(wǎng)絡(luò)釣魚是四個主要的初始感染載體；
• Lockbit（27.78%）、BlackCat（12.96%）、Phobos（9.26%）和 Zeppelin（9.26%）是2023年事件響應(yīng)實踐中最常遇到的勒索軟件家族；
• 大多數(shù)數(shù)據(jù)加密攻擊在一天（43.48%）或幾天（32.61%）內(nèi)結(jié)束。其余的攻擊持續(xù)了數(shù)周（13.04%），只有 10.87% 的攻擊持續(xù)了一個月以上。

勒索軟件格局：目標(biāo)群體和攻擊增多

通過分析從多個相關(guān)公開來源收集到的2022年和2023年的目標(biāo)勒索軟件群組及其攻擊數(shù)據(jù)，對其進(jìn)行了過濾和驗證。報告顯示，與2022年相比，全球目標(biāo)勒索軟件群組的數(shù)量增加了30%，其攻擊的已知受害者數(shù)量增加了71%，增幅驚人。

與隨機(jī)攻擊不同，這些有針對性的組織主要針對政府、高知名度組織或組織內(nèi)的特定個人。此外，它們大多以 “勒索軟件即服務(wù)”（RaaS）的模式分發(fā)惡意軟件，其中包括一些較小的團(tuán)體（稱為附屬機(jī)構(gòu)），它們通過收取訂閱費或部分贖金來獲取勒索軟件。在下圖中，您可以看到 2023 年最活躍的勒索軟件家族。

(2023 年按受害者數(shù)量分列的最活躍勒索軟件家族)

• Lockbit 3.0，2023年在企業(yè)系統(tǒng)中最常遇到的勒索軟件，其在2022年泄露了生成器，這導(dǎo)致各種獨立組織使用該生成器創(chuàng)建定制的勒索軟件變種，然后用來攻擊世界各地的組織。
• 黑貓/ALPHV，2023 年第二大最活躍的勒索軟件，美國國務(wù)院懸賞1000萬美元通緝該組織的同伙。
• Cl0p，2023 年第三大最活躍的勒索軟件，其入侵了文件傳輸系統(tǒng) MoveIt，以獲取其客戶的數(shù)據(jù)，據(jù)新西蘭安全公司 Emsisoft 稱，截至 2023 年 12 月，已影響到 2500 多家機(jī)構(gòu)。

其他值得注意的勒索軟件變種

• BlackHunt：使用基于Conti 勒索軟件源代碼的 C++ 可執(zhí)行文件攻擊全球受害者。
• Rhysida：最初針對 Windows，后來擴(kuò)展到 Linux。兩個版本都使用 AES 和 RSA 算法進(jìn)行文件加密，并在密鑰生成過程中使用 ChaCha 流密碼。該勒索軟件還采用基于令牌的方式訪問其隱藏服務(wù)，以提高保密性。
• Mallox：被稱為 Fargo 和 TargetCompany，Mallox 通過 Clearnet 和 TOR 服務(wù)器運行，目標(biāo)是面向互聯(lián)網(wǎng)的 MS SQL 和 PostgreSQL 服務(wù)器，并通過惡意附件傳播。
• 3AM：3AM 是一種新的 RaaS 變種，具有復(fù)雜的命令行界面和 “訪問密鑰 ”功能，其采用高效的文件處理技術(shù)，如反向遍歷（從末端處理字符串，以快速識別文件路徑和擴(kuò)展名）和與 Windows API 集成，并在加密前終止各種進(jìn)程，使恢復(fù)工作復(fù)雜化。與受害者的通信是通過基于 TOR 的隱藏服務(wù)進(jìn)行的，但存在操作安全錯誤配置，如真實 IP 暴露。

勒索軟件組織的策略和技術(shù)

勒索軟件集團(tuán)繼續(xù)采用以前確定的入侵策略，利用類似的工具和技術(shù)。攻擊者將目標(biāo)鎖定在易受遠(yuǎn)程命令執(zhí)行（RCE）影響的面向互聯(lián)網(wǎng)的應(yīng)用程序上，例如那些受有漏洞的 log4j 版本支持的應(yīng)用程序。對手利用這些應(yīng)用程序中的漏洞，獲得了未經(jīng)授權(quán)的訪問權(quán)限并入侵了基礎(chǔ)設(shè)施。

一旦確認(rèn)可以利用漏洞，攻擊者通常會操縱負(fù)責(zé)執(zhí)行應(yīng)用程序的本地特權(quán)賬戶。他們執(zhí)行命令修改用戶密碼，并上傳一套工具（如 Meterpreter 和 Mimikatz）到被入侵的系統(tǒng)。通過執(zhí)行 Meterpreter 和創(chuàng)建或修改系統(tǒng)進(jìn)程，入侵者可獲得更多訪問權(quán)限，并在被入侵系統(tǒng)上建立持久性。

在某些情況下，對手會利用組織基礎(chǔ)設(shè)施中面向公眾的應(yīng)用程序的漏洞，并利用 BloodHound 和 Impacket 等工具在網(wǎng)絡(luò)中橫向移動，獲取目標(biāo)基礎(chǔ)設(shè)施的知識。不過，為了規(guī)避端點控制，他們也采用了不同的技術(shù)，如使用 Windows 命令外殼收集事件日志和提取有效用戶名。

此外，對手還利用本地 Windows SSH 命令進(jìn)行命令與控制 (C2) 通信和數(shù)據(jù)滲透。在確定訪問互聯(lián)網(wǎng)遠(yuǎn)程系統(tǒng)的路徑后，他們會配置 SSH 后門并建立反向隧道進(jìn)行數(shù)據(jù)交換。

總體而言，勒索軟件組織對網(wǎng)絡(luò)漏洞有著深刻的理解，并利用各種工具和技術(shù)來實現(xiàn)其目標(biāo)。使用眾所周知的安全工具、利用面向公眾的應(yīng)用程序中的漏洞以及使用本機(jī) Windows 命令，都突出表明需要采取強(qiáng)有力的網(wǎng)絡(luò)安全措施來抵御勒索軟件攻擊和域接管。

勒索軟件：成為國家和國際安全問題

在過去幾年中，勒索軟件攻擊對公共和私營組織的影響已經(jīng)升級到威脅國家安全的程度。這種日益嚴(yán)重的威脅導(dǎo)致勒索軟件在國家網(wǎng)絡(luò)安全戰(zhàn)略、網(wǎng)絡(luò)安全監(jiān)管機(jī)構(gòu)的年度報告以及聯(lián)合國網(wǎng)絡(luò)安全不限成員名額工作組（OEWG）等論壇的政府間討論中受到重視。對各國政府來說，勒索軟件攻擊的頻繁性和破壞性已變得難以為繼，這促使它們匯集資源，制定國家和多國倡議，以打擊勒索軟件集團(tuán)。

• 2021 年，成立國際反勒索軟件倡議（CRI），49 個國家齊心協(xié)力，共享網(wǎng)絡(luò)安全信息，破壞攻擊者的行動，并應(yīng)對助長勒索軟件攻擊的金融機(jī)制。
• 2022年，美國立法《2022 年關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報告法》旨在加強(qiáng)事件報告和抵御攻擊的能力。
• 2023 年初，法國實施了一項法律，將及時報告網(wǎng)絡(luò)安全事件作為保險條件。

德國在最新的《2023年 IT 安全報告》指出，勒索軟件是德國面臨的最大網(wǎng)絡(luò)安全威脅，并指出勒索軟件已從 “獵殺大型游戲 ”轉(zhuǎn)變?yōu)獒槍π⌒凸竞褪姓?dāng)局。

此外，全球各地的執(zhí)法機(jī)構(gòu)正在聯(lián)合行動，旨在摧毀勒索軟件網(wǎng)絡(luò)，比如：

• 2023 年，國際行動摧毀了 Hive、BlackCat 和 Ragnar 等勒索軟件組織的基礎(chǔ)設(shè)施。
• 2024 年初，克羅諾斯行動（Operation Cronos）瓦解了洛克比特（Lockbit）并獲得了其解密密鑰。

以通過將國際合作、立法行動和金融監(jiān)督結(jié)合起來，有效減輕勒索軟件攻擊的全球威脅和影響。

勒索軟件——2024 年預(yù)測

勒索軟件生態(tài)系統(tǒng)發(fā)生了重大變化。隨著官員們討論反勒索軟件的措施，以及全球各地的法律機(jī)構(gòu)聯(lián)手打擊網(wǎng)絡(luò)犯罪，勒索軟件的行動正變得越來越分散。規(guī)模更大、協(xié)調(diào)性更強(qiáng)的組織正在分解成更小的部分，使執(zhí)法部門更難將其作為打擊目標(biāo)。此外，這些小團(tuán)體中的每一個影響都較小，執(zhí)法部門對其興趣也較小，因此被追蹤和起訴的可能性也較小，從而使獨立的勒索軟件行為者有更大的機(jī)會逃脫逮捕。

總之，在網(wǎng)絡(luò)安全領(lǐng)域，勒索軟件攻擊仍然是一個重大且不斷演變的威脅。從影響關(guān)鍵部門的高調(diào)漏洞到針對小型企業(yè)的攻擊，勒索軟件的影響在不斷擴(kuò)大。我們對勒索軟件的現(xiàn)狀進(jìn)行反思時，發(fā)現(xiàn)了幾個關(guān)鍵的觀察點和趨勢。

要降低勒索軟件攻擊的風(fēng)險，個人和企業(yè)組織應(yīng)優(yōu)先采取網(wǎng)絡(luò)安全措施，例如：

• 使用功能強(qiáng)大、配置正確的安全解決方案，比如為網(wǎng)站部署SSL證書實現(xiàn)HTTPS加密；為軟件程序部署代碼簽名證書，防止代碼被惡意篡改；為郵件客戶端部署郵件安全證書，防止郵件釣魚、郵件篡改、郵件泄露。
• 實施托管檢測和響應(yīng) (MDR)，主動發(fā)現(xiàn)威脅，對異常行為的檢測和及時報警，及時發(fā)現(xiàn)并應(yīng)對安全事件。
• 禁用未使用的服務(wù)和端口，最大限度地減少攻擊面。
• 定期更新和打補(bǔ)丁，保持所有系統(tǒng)和軟件的最新狀態(tài)，防止惡意攻擊者利用漏洞入侵系統(tǒng)、傳播惡意軟件。
• 定期進(jìn)行滲透測試和漏洞掃描，及時發(fā)現(xiàn)并解決漏洞。
• 為員工提供全面的網(wǎng)絡(luò)安全培訓(xùn)，提高他們對網(wǎng)絡(luò)威脅和最佳緩解方法的認(rèn)識。
• 建立和維護(hù)關(guān)鍵數(shù)據(jù)的定期備份，并定期測試備份和恢復(fù)程序，在數(shù)據(jù)丟失或損壞時，可以及時恢復(fù)數(shù)據(jù)，避免對業(yè)務(wù)正常運轉(zhuǎn)造成影響。
• 利用威脅情報跟蹤集團(tuán)使用的最新 TTP，并調(diào)整檢測機(jī)制以捕捉這些 TTP。
• 特別關(guān)注網(wǎng)絡(luò)內(nèi)系統(tǒng)上運行和安裝的任何 “新 ”軟件（包括合法軟件）。

資料參考來源：KASPERSKY、securelist